Jump to content
Krane

SNSC si contractori individuali / Bug Bounty pe infrastructura Romania?

Recommended Posts

Posted

Fiecare initiativa are ca punct de prezentare un site wordpress care ramane neupdatat ani de zile. (fiipregatit.ro, politialocala*x*.ro, universitatii, etc)

 

Potrivit legii, exista undeva, cumva, vreo metoda tip bug bounty? 

 

Honestly m-am saturat sa vad "operation romania" cu RCE pe wordpress 1.0 ./exploit si un deface sau un stored xss, sunt atat de low hanging fruits care pot fi remediate atat de usor

 

ex: in prezent daca faci un request la transport public [oras romania] in api cu un startdate din anul 0001, dai shutdown la api timp de ~1h (ce opreste toate serviciile si 3rd party app din functionare din orasu respectiv) =)) nu mai zic nimic


cum ne putem implica ca cetateni in asa ceva, si also sa primim ceva la schimb (bani/diplome/etc)

 

ps: Sugestii tip "sparge si da-le mail" nu prea functioneaza pentru ca nu stii peste ce dai, si chiar si sa nu dai peste nimic, egal de intenti nu ai autorizatie 

 

pana si SuperBet are program de bug bounty 😕  

 

Backgroundu meu sa nu fiu prea specific

Certificari Securitate
Facultate pe domeniu
Experienta de munca ce m-ar considera medium in securitate partea Red Team

  • Upvote 2
Posted

Nu stiu care ar fi solutia ideala, nu mai sunt anii 2000 sa te dea in judecata, dar nici nu poti avea vreo asteptare ca primesti ceva. 

E o idee care ar fi utila dar probabil necesita buget iar sumele platite nu ar fi prea mari. Macar daca si-ar pune security.txt cei care sunt interesati de subiect ca un program de bug bounty e prea mult pentru ce e la noi in tara... 

Posted

Foarte buna intrebarea. In primul rand cred ca e o chestie de mentalitate. E foarte greu pt cei care coordoneaza astfel de site-uri sa accepte aceasta idee, indiferent daca au sau nu buget.

 

In Olanda nu se plateste dar in schimb dau tricouri cu "I hacked the Dutch government" si e o chestie care iti da reputatie in comunitate, dar ei accepta critici/rapoarte.

 

Ar fi tare sa facem ceva marca RST ceva gen Secure Romania, mergem fiecare pe institutii sau chestii publice si incercam sa expunem problema asta, adunam feedback si incercam sa imbunatatim. Poate poate iasa ceva.

  • Upvote 1
Posted
12 hours ago, Zatarra said:

Ar fi tare sa facem ceva marca RST ceva gen Secure Romania, mergem fiecare pe institutii sau chestii publice si incercam sa expunem problema asta, adunam feedback si incercam sa imbunatatim. Poate poate iasa ceva.

 

sa sprijini institutiile statului roman preacurvit, escroc, ticalos, spagar, nesimtit pentru a putea fura cetatenii?

 

Le bagi ... in inima. Nici pe 50.000 de euro lunar nu as face asta. Ori de ajuti statul, ori de ajuti un escroc, e tot una.

 

 

https://www.zf.ro/business-hi-tech/cearta-pe-eromania-un-portal-de-22-mil-euro-sunt-sau-nu-bani-5583718

https://www.zf.ro/business-hi-tech/ministrul-comunicatiilor-dezvoltarea-proiectului-eromania-va-fi-un-business-de-1-2-mld-euro-4559966

https://www.economica.net/eromania-cand-se-lanseaza-cel-mai-mare-portal-din-romania-si-ce-va-contine_40144.html

 

Vedeti cat s-a cheltuit si pe mcti, mcsi, serverul de timp si cu ce firme au fost facute. 

  • Haha 1
  • Sad 1
  • Upvote 2
  • Moderators
Posted

Probabil, daca o sa faca ceva, o sa o transforme intr-o birocratie cu NDA, copie dupa CI si alte balarii ca sa ai dreptul legal din data X pana in data Y sa faci pentest.

 

Daca nu sunt sisteme de stat, sunt sisteme de-ale UTI sau altii care mananca o caruta de bani doar sa schimbe un cablu sau sa dea restart la un server si aia o sa va dea in judecata daca va vad pe loguri.

 

Posted

acum ceva timp gasisesem din greseala o smecherie de superbet de iti baga banii bonus ca si fonduri cash si nu mai necesitau rulajul, nu stiam ca au bug bounty tho. cui ii pot da si eu un pm sa i ii explic treaba asta si sa-mi spuna daca se merita sa le dau un mesaj? e destul de rudimentara treaba si totusi nu stiu daca mai de actualitate, dar se poate testa 

Posted
1 hour ago, pp2023 said:

acum ceva timp gasisesem din greseala o smecherie de superbet de iti baga banii bonus ca si fonduri cash si nu mai necesitau rulajul, nu stiam ca au bug bounty tho. cui ii pot da si eu un pm sa i ii explic treaba asta si sa-mi spuna daca se merita sa le dau un mesaj? e destul de rudimentara treaba si totusi nu stiu daca mai de actualitate, dar se poate testa 

 

https://superbet.ro/security.txt

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...